Visual SoftICEVisual SoftICE is a two-machine, system-wide debugger that has a multiple-window, configurable, graphical user interface (GUI) to help developers debug kernel-mode drivers, application

isno　　最近又有一种新的国产木马出现了，它有个好听的名字，叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品，它可以运行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比，它具有体积更小、隐藏更为巧妙的特点。可以预料，在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。　　由于“广外

PrefaceThis article was written to provide the better understanding to people who do not have any experience in this field. I am not going to describe about PE structure, so I think it was explain

Author:  PolymorphoursEmail:   Polymorphours@whitecell.orgHomepage:http://www.whitecell.org Date:    2005-11-17 /*++ Author: Polymorphours Da

文章作者：MGF信息来源：邪恶八进制信息安全团队（www.eviloctal.com）;MGF V1.3的源代码：;大家好！我是MGF。2年前因为我的MGF给很多人带来了麻烦，所以我“闭门思过”埋头工作，消身匿迹近2年。现在看到“风声过去了”，;才敢浮头露露面。现在我最新的改进过的MGF又出来了（没有散布），还是我的一贯作风，没有破坏，只讲技术，希望看过以下代码的朋;友能够学到一些技术，有所启

卡巴斯基(AVP)内存驻留型病毒检测方法author：killer      卡巴斯基反病毒软件(Kaspersky Antivirus)，以前叫AntiViral Toolkit Pro(AVP)，出于习惯和简单，这里一律称为AVP或KAV。    学习AVP的检测办法的意义一方面在于AVP的检测方法是经过理论验证和实践考验的科学合理的方法，另外DOS年代过来的朋友对于反病毒有过这样的经验：“机

Honestly to say, Tibbars packer just encrypts the code section, which can be detected by most AV programs. But if your main aim is to make virii undetectable, packing is not the only way. In the troj

首先我在这里说明，MS 调试信息的支持其实MS 已经提供了DBGhelp和imagehel 这两个库，当我们如果想更深入的了解调试信息就必须来了解调试文件。我在这里只讨论DBG文件和PDB文件，由于其中的很多信息，MS并没有公开，我也只属于探索阶段，所以错误再所难免。  一般的调式信息由MS提供的一般由两个文件，DBG文件和PDB文件，在NT4。0中没有PDB文件，PDB文件中的信息被保存在DBG

注意：要查看此视频，您的计算机中必须安装 Windows Media Player 7.0 或更高版本。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：299321 (http://support.microsoft.com/kb/299321/) Windows Media Player 7.1 的说明和可用性 当您使用各种 Microsoft 工具调

   Mike Taultys Weblog Ones & Zeros I read...Blog Roll (Opml) MicrosoftMS UK Post Events Site NewsBBC News The Guardian The Observer  A word for WinDbg Before I came to work at Microsoft I worked as

一种在BIOS中嵌入应用程序的方法及实现介绍本文针对Award公司开发的计算机系统BIOS提出了一种嵌入应用程序的方法，其基本原理对别的品牌的BIOS也一样适用，仅需稍加修改。文中作者给出并讨论一个完整的例子程序，该程序已经通过实验验证。 一. BIOS简述这里所讲的BIOS是指计算机主板上的BIOS，是整个计算机的关键和灵魂，计算机一启动就是执行BIOS程序，它负责加电自检，初始化计算系统，响应

分析了半天，准备放弃了。不过因为和驱动有关，而且分析过程也和RE挂钩，所以放上来给兄弟们看看。有知道的讨论一下，没有懂NT内核的作个参考，算废物利用吧。废话几句，记得Xtreme是用驱动的……寒一个……===================================================================对Rav 2005中HOOK的初步分析昨天升级了一下RAV200

需要的工具  Debugger (SICE, OllyDbg－－非常棒的东东)，Wadsm或者IDA，Flexlm SDK 7.2或者更高版本（非必须），一些最近的信息（从Pilgrim, Nolan Blender或其他的地方得到）。  目标位置（对付得东东是个CAD软件，叫做Solidedge。）  http://www.ugsolutions.com  http://www.solid-ed

SoftICE是Numega公司出品的强大的程序调试工具，它可以运行dos,win3.1,win9x,winme,winnt,win2k等多种操作系统，是跟踪调试程序的有力的工具。这篇文章是我在自己使用SoftICE的过程中总结的关于SoftICE软件的安装、使用的方法与心得。 　　注意：以下讲述的是SoftICE version 4.05 for win2k，其他版本和它大同小异，如果你的Sof

 ACPI是现代计算机系统中BIOS与操作系统间的桥梁。ACPI不仅定义了很多电源和休眠有关的标准，它还定义了如何通过FADT、XSDT、RSDT以及ASL语言来实现与操作系统的交互。有些系统问题，比如无法进入睡眠状态，无法唤醒（自动重启，或死机）等，是与ACPI直接有关的。但如何定位出错的具体原因一直是一个比较困难的课题。很多时候不得不使用排除及试探等间接方法来解决，效率很低。本文介绍一

PART THE FIRSTBy Dark AngelPhalcon/Skism   With the recent proliferation of virus encryption "engines," I was inspired to write my own. In a few short weeks, I was able to cons

关于VM和WINDBG的基本配置请参考相关的文档。（在这里给各位一篇不错的文章，就是jiurl老大写的《  利用VM使用windbg  》）好了，废话少说，让我们整点干的 ：-）既然我们要分析的是sr.sys，当然我们先要看的就是目标机加载的驱动程序的位置了，sr.sys是XP系统系统还原的主体部分，它是建立在NTFS文件分区格式下的一个驱动，说白了 sr.sys其实就是ntfs.sys的

// HDService.cpp : Defines the entry point for the console application. // //网络僵尸服务端代码 作者:教主  www.jiaozhu.net //请保留作者版权 #include "stdafx.h" #include "HDService.h" #include "winsock2.h" #include "winsv

发布:sunlion@E.S.T 日期:2005-12-10   今年8月的新蠕虫狙击波利用了ms05039 PnP服务漏洞， 因为ms050

/*Bumblebees Remote Shell [BRSH] (worm edition)Detected by AVP as i-worm.FunnyPicsCopyright (c) 2001 Bumblebee Disclaimer:THIS IS THE SOURCE CODE OF AN I-WORM. THE AUTHOR IS NOT RES

             理 论 变 形 学               第一讲：：                                                         序     "No matter death or live,I would be on your sides forever."                                    

使用WinDbg调试程序什么是WinDBG?WinDbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试，还可以调试Dump文件。由于大部分程序员不需要做Kernel模式调试， 我在这篇文章中不会介绍Kernel模式调试。Kernel模式调试对学习Windows核心极有帮助。如果你对此感兴趣，可以阅读Inside Windows 2000和Windbg所带的帮

[提示] Trojan.StartPage 病毒名称：Trojan.StartPage [Symantec] 发现日期：2006年1月 其他名称： Trojan-Proxy.Win32.Agent.iu [Kaspersky]、Generic BackDoor.w [McAfee]、 Dropped:Generic.Malware.Sdldsp.969BE097 [Bitdefender]、pro

在经典的汇编语言教程中，函数调用时堆栈的使用都是着重讲解的问题。如今随着高级语言的越来越完善，单纯使用汇编开发的程序已经不多了。但对函数调用时堆栈动向的了解仍有助于我们明晰程序的执行流程，从而在程序编写和调试的过程中有一个清晰的思路。一．调用约定在Win32中，有关函数的调用主要有两种约定。1．_stdcall        以__stdcall方式调用的函数有以下特征：    •  参数由右至左

Writing Your Own Packer - by BigBoote

木马彩衣的实现原理,也就是在程序里面加多一个Section,并且把入口点指向我们新添加的Section,然后再在我们的Section的代码里加上一个jmp,jmp到真正的入口点.这样,一些识壳软件,它在识别入口点代码时,就跑到我们新加的Section,看到里面的代码是VC6或是Delphi的代码也就认为是VC6或是Delphi的程序了.下面是我写的一个代码,修改自"Fi7ke"老大的Delphi代

http://www.exetools.com/forum/showthread.php?t=8499引用: Ollydbg Anti Anti Hardware BreakpointCopyright (c) 2005 - Mattwood^FRET - mattwood9@gmail.com - www.pastapolis.info - http://reverseengineering

 Recently, Some friend complained to me that their rootkit driver had been killed by anti-virus software like McAfee and Nod32.So I began to find why.I found that these "heuristic anti-virus" based

从现在开始，我将带你走进Hook 与 Inject的世界，我至少介绍5种不同的Hook方法和至少4种不同的Inject方法给你。还会用相应的例子来示范，其中我也许会附带发布一些我写的工具，当然示范代码都是用Delphi写，(我还不太会C(正要学，请各位老大多多关照),用ASM又比Delphi麻烦^_^),基本上所有的例子我会详细解释其工作思路。PS:非常欢迎大家和我讨论，我的QQ:86667342

以LordPE和OD成功加载为基础，清除PE头部中的“垃圾”数据实际情况可能没多大用处，昨天晚上想温习一下PE头的格式就写了这个使用时把PE文件拖进对话框即可xp sp2 + VC6附件:peclean.rar#include "PeClean.h"DWORD IsPE(HANDLE hFile){  char  ReadBuffer[4];  DWORD  dwRead;  DWORD  dwO

来源：http://www.exetools.com/forum/showthread.php?t=8432附件:bambam004_source.zip 引用: bedrock    11-03-2005, 04:10 End of last year and begining of this year, i had some spare time and set about creatin

事先声明这片文章并非我的原创，你可以在这个地址http://www.codeproject.com/system/inject2

前置知识：黑客之门的基本功能蝴蝶：学习黑客技术很关键的一点就在于不断地学习先进的技术，不断地创造出新的东西，这样才能在飞速发展的网络技术中占领自己的一席之地。最近大家关注的黑兵器有些什么呢？黑客之门估计是大多数人关注的目标，因为它太厉害了，厉害到它不但是个功能超强的后门，同时它还有很多思想都是比较新颖的，值得大家学习。正好本文作者通过自己写程序和分析黑客之门的代码获得了很大的提高，于是写下此文。抱

Just look it.Do you know Recon? :)-----Reverse Engineering.It is so cool, now recon 2005 papers is inhttp://2005.recon.cx/recon2005/papers/ 

作者 : Detten    Detten@tiscali.be  翻译 : nbw       www.vxer.com 来源 : http://biw.rult.at/ 1、前言    一但破解了一个程序，你就想把成果共享给别人。为了不用把整个破解后的程序上传，你可以制作一个小补丁来修改程序中必要的字节。    那如何来写呢？===〉首先找到需要打补丁的文件

数据传输指令 ───────────────────────────────────────     它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据.     1. 通用数据传送指令.         MOV    传送字或字节.         MOVSX  先符号扩展,再传送.         MOVZX  先零扩展,再传送.         PUSH    把字压入堆栈.      

BlasterWorm for Windowsblaster.cpp--------------------------------------------------------------------------------#include #include /*IP_HDRINCL*/#include /*InternetGetConnectedState*/#include #prag

作者 : Detten    Detten@tiscali.be 来源 : http://biw.rult.at/翻译 : nbw 1、什么是Loader，为什么需要它？   所谓的Loader是一个用来加载其他程序的小程序。当然，只有被加载的内存的程序需要改动的时候我们才采用Loader。（内存补丁）   Loader常用于让游戏玩家修改游戏。   有很多原因导致我们

Disclaimer: The author of this document is not responsible of any kind of damage that could be made with the bad use of this information. The objective of this paper is for educational and

 在经典的汇编语言教程中，函数调用时堆栈的使用都是着重讲解的问题。如今随着高级语言的越来越完善，单纯使用汇编开发的程序已经不多了。但对函数调用时堆栈动向的了解仍有助于我们明晰程序的执行流程，从而在程序编写和调试的过程中有一个清晰的思路。一．调用约定在Win32中，有关函数的调用主要有两种约定。1．_stdcall        以__stdcall方式调用的函数有以下特征：    •